アカウント名:
パスワード:
Microsoft 製を含む大多数の Android アプリに存在する「脆弱性」であって、HTTP Over TLS の脆弱な実装と合わせて対処すべきだと思うので投稿します。
最近、ユーザーが、ログイントークン・セッションIDを無効にできない Android アプリ・Webサービスが急増しています。以前は別の端末からログインすると前の端末から自動ログアウトされるサービスが多かったので問題が無かったのですが、マルチデバイスに対応する際に何故か危険な実装となってしまったのだと思います。
本日、Android に OneDrive (v3.1.1) をインストール・サインインして、検証したところ、
2015年07月0
MACアドレスとか端末IDをログイントークンにしているサービスもあります。仮想OSの検証時にそこらへんを0埋めしていると他人のアカウントにログインされたりで驚きます。
「簡単ログイン」の悪夢がより悪化して跳ね返ってきてるというか、偽クライアント用意すれば偽装し放題な自主申告の項目で認証している上に、その項目自体全く秘匿されてないってもうどうしようもないレベルのゴミですね…
驚くというかブチ切れて良いよ、それ。とりあえずIPAか何かに通報したい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
OneDrive など ログイントークンを無効にできない Android アプリもなんとかすべき (スコア:5, 興味深い)
Microsoft 製を含む大多数の Android アプリに存在する「脆弱性」であって、HTTP Over TLS の脆弱な実装と合わせて対処すべきだと思うので投稿します。
最近、ユーザーが、ログイントークン・セッションIDを無効にできない Android アプリ・Webサービスが急増しています。以前は別の端末からログインすると前の端末から自動ログアウトされるサービスが多かったので問題が無かったのですが、マルチデバイスに対応する際に何故か危険な実装となってしまったのだと思います。
本日、Android に OneDrive (v3.1.1) をインストール・サインインして、検証したところ、
もっとひどいのは (スコア:0)
MACアドレスとか端末IDをログイントークンにしているサービスもあります。
仮想OSの検証時にそこらへんを0埋めしていると他人のアカウントにログインされたりで驚きます。
Re: (スコア:0)
「簡単ログイン」の悪夢がより悪化して跳ね返ってきてるというか、
偽クライアント用意すれば偽装し放題な自主申告の項目で認証している上に、
その項目自体全く秘匿されてないってもうどうしようもないレベルのゴミですね…
驚くというかブチ切れて良いよ、それ。とりあえずIPAか何かに通報したい。